用什么方法去消除應(yīng)用云存儲(chǔ)障礙

云存儲(chǔ)具有易用和廉價(jià)的誘惑力，至少在零資金投入方面讓人怦然心動(dòng)。然而，出于性能、可用性和安全性等方面的顧慮，現(xiàn)在只有很少的公司愿意考慮全面使用云存儲(chǔ)的能力。

在本周的New Tech Forum上，Panzura公司營(yíng)銷副總裁Ranajit Nevatia正面回應(yīng)了這些問(wèn)題。他的討論重點(diǎn)是云存儲(chǔ)控制器的利用，詳細(xì)介紹了它們的底層工作原理，以及它們?nèi)绾谓鉀Q云存儲(chǔ)的企業(yè)級(jí)問(wèn)題。

采用云存儲(chǔ)的障礙

以按需支付的經(jīng)濟(jì)模式和無(wú)限的可擴(kuò)展性，云存儲(chǔ)似乎是on-site數(shù)據(jù)存儲(chǔ)持續(xù)投資問(wèn)題的理想解決方案，特別是對(duì)于多站點(diǎn)企業(yè)。這些企業(yè)要么已經(jīng)實(shí)現(xiàn)集中式文件存儲(chǔ)，辦公室必須通過(guò)廣域網(wǎng)遠(yuǎn)程訪問(wèn)（隨之而來(lái)的是延遲問(wèn)題和工作流程的中斷），要么他們分發(fā)辦事處之間的存儲(chǔ)，而必須處理文件同步問(wèn)題。

云存儲(chǔ)承諾解決這些問(wèn)題，但許多公司仍然不愿移動(dòng)存儲(chǔ)到云中。

遷移到云的一個(gè)問(wèn)題是，企業(yè)存儲(chǔ)“文件”而云存儲(chǔ)“對(duì)象” - 后者是一個(gè)新的數(shù)據(jù)結(jié)構(gòu)，是可擴(kuò)展的云架構(gòu)的需要。

因此，必須有從文件到對(duì)象的翻譯，以支持企業(yè)訪問(wèn)云存儲(chǔ)。此外，客戶可以重寫他們的許多應(yīng)用程序，以充分利用云存儲(chǔ)的優(yōu)勢(shì)，但他們不愿意這樣做，因?yàn)槌杀竞芨?。云供?yīng)商提供基本的匝道（on-ramps）到他們的云 - 執(zhí)行RAW轉(zhuǎn)換文件到對(duì)象的軟件 - 這些可能成為小型企業(yè)的需求，但它們并不適合一家大公司的大多數(shù)用例。

企業(yè)采用云存儲(chǔ)的其他障礙包括可用性、性能和安全性。公司擔(dān)心他們的用戶無(wú)法以等同于內(nèi)部部署存儲(chǔ)可以提供的速度來(lái)訪問(wèn)他們存儲(chǔ)云中的文件。當(dāng)然，還有一些網(wǎng)絡(luò)或云提供商可能會(huì)遇到停電的擔(dān)心，這剝奪他們?cè)陉P(guān)鍵時(shí)刻對(duì)數(shù)據(jù)的訪問(wèn)。出于對(duì)黑客或違反協(xié)議的擔(dān)憂，公司也不愿意在公共云存放私有數(shù)據(jù)。

云存儲(chǔ)控制器為解決這些問(wèn)題提供了新的途徑?？刂破髯詣?dòng)轉(zhuǎn)換文件為對(duì)象，無(wú)需為云重寫應(yīng)用程序。云存儲(chǔ)控制器被部署在每個(gè)分支機(jī)構(gòu)與主辦公室，它實(shí)現(xiàn)一個(gè)全局文件系統(tǒng)，充分利用站點(diǎn)之間的互聯(lián)網(wǎng)連接展示文件系統(tǒng)的統(tǒng)一視圖到所有客戶端，無(wú)論他們連接到哪個(gè)本地的云存儲(chǔ)控制器。此外，云存儲(chǔ)控制器提供了牢不可破的安全性。

下面讓我們來(lái)看看，云存儲(chǔ)控制器具體如何解決可用性和安全性的問(wèn)題。

可用性：云文件系統(tǒng)

云控制器的主要特性是它的文件系統(tǒng)。云控制器的文件系統(tǒng)背后的一個(gè)主要原則，是有效載荷數(shù)據(jù)和元數(shù)據(jù)之間的物理和邏輯分離。在傳統(tǒng)的文件系統(tǒng)中，快照包含的有效載荷數(shù)據(jù)和元數(shù)據(jù)，并且它作為單一的大塊信息管理。在云控制器的文件系統(tǒng)中，元數(shù)據(jù)可以很容易地從快照中提取，并與有效載荷數(shù)據(jù)分開傳輸，同時(shí)保持文件系統(tǒng)的一致性。當(dāng)客戶端與文件系統(tǒng)交互，實(shí)際上是元數(shù)據(jù)操作，不需要訪問(wèn)有效載荷數(shù)據(jù)。

通過(guò)目錄結(jié)構(gòu)瀏覽，打開文件夾，查看文件列表和基于屬性（如文件名、文件大小、文件類型、創(chuàng)建日期和修改日期）的文件排序/搜索，都是元數(shù)據(jù)操作。元數(shù)據(jù)操作如何迅速發(fā)生用，對(duì)戶體驗(yàn)的影響很大，所以大多數(shù)文件系統(tǒng)在RAM中緩存元數(shù)據(jù)，以加快響應(yīng)時(shí)間。因此，云控制器文件系統(tǒng)的一個(gè)核心設(shè)計(jì)原則，是為全局部署的元數(shù)據(jù)操作保持響應(yīng)時(shí)間。

由于云控制器通過(guò)所有的控制器展示相同的文件系統(tǒng)視圖，在每個(gè)控制器中的元數(shù)據(jù)必須保持同步。文件系統(tǒng)通過(guò)采取文件系統(tǒng)高頻次的快照，從快照提取元數(shù)據(jù)的變化，并迅速分發(fā)這些改變到文件系統(tǒng)中的所有控制器成員，實(shí)現(xiàn)這一目的。每個(gè)云存儲(chǔ)控制器從其他控制器接收更新元數(shù)據(jù)，并將其應(yīng)用于自己的元數(shù)據(jù)。在這種方式下，文件系統(tǒng)總是相同的，不管哪個(gè)控制器呈現(xiàn)它。

當(dāng)客戶端通過(guò)云控制器文件系統(tǒng)瀏覽，其用戶體驗(yàn)與瀏覽本地文件系統(tǒng)是相同的，因?yàn)樗鼈兪聦?shí)上是瀏覽文件系統(tǒng)元數(shù)據(jù)的本地副本。因此，即使實(shí)際數(shù)據(jù)文件存在于在不同的站點(diǎn)或在云中的控制器，它總是能夠快速導(dǎo)航文件系統(tǒng)。

鎖管理

鎖管理（Lock management）是全局文件系統(tǒng)的另一個(gè)重要組成部分。由于多個(gè)客戶端共享訪問(wèn)一個(gè)通用的文件存儲(chǔ)庫(kù)，必須有一個(gè)對(duì)多個(gè)用戶同時(shí)編輯一個(gè)文件的鎖機(jī)制。一旦用戶打開一個(gè)文件時(shí)，該文件被鎖定，所有其他用戶無(wú)法編輯，直到原有用戶關(guān)閉文件。一個(gè)有效的云存儲(chǔ)控制器包括一個(gè)鎖管理系統(tǒng)，其中鎖定的信息在所有的控制器中實(shí)時(shí)交換，保證沒(méi)有兩個(gè)用戶同時(shí)爭(zhēng)用文件編輯權(quán)限。

至于云中斷事件的文件可用性，云控制器可以設(shè)定為自動(dòng)同步文件的副本存儲(chǔ)在云中的兩個(gè)或更多的位置，比如亞馬遜的不同站點(diǎn)。這樣，即使一個(gè)數(shù)據(jù)副本變得不可用，其他的副本仍然在手。

安全

云控制器通過(guò)對(duì)存儲(chǔ)在云中的所有文件采用軍用級(jí)文件加密解決安全問(wèn)題。加密密鑰保持在客戶自己的網(wǎng)站，以確保完全的安全性。

在云部署，信息將在互聯(lián)網(wǎng)上進(jìn)行傳輸。雖然在某些情況下可以用虛擬專用網(wǎng)絡(luò)（VPN）連接站點(diǎn)，甚至是云計(jì)算，但云存儲(chǔ)控制器能為傳輸中和靜止的數(shù)據(jù)提供最大限度的保護(hù)。

例如，所有的Panzura Quicksilver Cloud Storage Controllers從有RSA 2048位證書的工廠出貨。如果有需要，用戶可以使用該證書，但它通常被多達(dá)4，096位的X.509證書（PFX / PKCS # 12，PEM，DER格式）取代。

當(dāng)一個(gè)云存儲(chǔ)系統(tǒng)建立后，系統(tǒng)管理員指定云控制器被允許加入文件系統(tǒng)的IP地址?，F(xiàn)有的控制器在文件系統(tǒng)中使用 HMAC-SHA- 256身份驗(yàn)證來(lái)建立一個(gè)安全隧道到新的控制器，并共享文件系統(tǒng)的X.509證書，使用AES -CBC -256加密的證書。

當(dāng)數(shù)據(jù)經(jīng)過(guò)網(wǎng)絡(luò)，無(wú)論是控制器和控制器之間，還是控制器和公共云/私有云之間，控制器產(chǎn)生一個(gè)隨機(jī)數(shù)，改變每32MB的數(shù)據(jù)，以確保密鑰的輪換。 AES -CBC- 256加密的用戶數(shù)據(jù)使用該隨機(jī)數(shù)，并且該隨機(jī)數(shù)本身也是AES- CBC- 256加密，使用X.509證書的公共密鑰，并嵌入傳輸或存儲(chǔ)的數(shù)據(jù)的頭部。數(shù)據(jù)現(xiàn)在被安全地加密，通過(guò)在不同的每一個(gè)32MB的數(shù)據(jù)塊之間使用加密，可以阻撓暴力解密的嘗試。

只有有效X.509私鑰的持有者可以解密數(shù)據(jù)。當(dāng)一個(gè)文件服務(wù)控制器訪問(wèn)信息的加密塊，塊報(bào)頭被檢查，然后用私鑰對(duì)包含在報(bào)頭內(nèi)之的隨機(jī)數(shù)進(jìn)行解密，最后將解密的隨機(jī)數(shù)用于實(shí)際的數(shù)據(jù)進(jìn)行解密。

小結(jié)

云存儲(chǔ)控制器實(shí)現(xiàn)強(qiáng)大的全局文件系統(tǒng)，通過(guò)有效載荷數(shù)據(jù)和元數(shù)據(jù)分離提供文件的快速訪問(wèn)。此外，云控制器的文件系統(tǒng)實(shí)現(xiàn)全局文件鎖管理，并提供多個(gè)文件副本的訪問(wèn)，以防止云數(shù)據(jù)中心停電。最后，云存儲(chǔ)控制器實(shí)現(xiàn)軍事級(jí)別的加密，以消除關(guān)于存儲(chǔ)在公共云中的企業(yè)敏感信息的擔(dān)憂。因此，云存儲(chǔ)控制器能夠幫助用戶克服采用云存儲(chǔ)的常見障礙。

責(zé)任編輯：Ct